기본 프로파일의 설정이 요구 사항을 충족하지 않는 경우 사용자 지정 세그먼트 보안 세그먼트 프로파일을 생성할 수 있습니다.
사전 요구 사항
세그먼트 보안 세그먼트 프로파일 개념을 숙지합니다. 세그먼트 보안 세그먼트 프로파일 이해 항목을 참조하십시오.
프로시저
- 관리자 권한으로 NSX Manager에 로그인합니다.
- 을 선택합니다.
- 세그먼트 프로파일 추가를 클릭하고 세그먼트 보안을 선택합니다.
- 세그먼트 보안 프로파일 세부 정보 입력을 완료합니다.
옵션 설명 이름 프로파일의 이름입니다. BPDU 필터 BPDU 필터 버튼을 전환하여 BPDU 필터링을 사용하도록 설정합니다. 기본적으로 사용하지 않도록 설정됩니다.
BPDU 필터가 사용되도록 설정되면 BPDU 대상 MAC 주소로의 모든 트래픽이 차단됩니다. 또한 BPDU 필터가 사용되도록 설정되면 논리적 스위치 포트는 STP에 참여할 것으로 예상되지 않으므로 이러한 포트에서 STP가 사용되지 않도록 설정됩니다.
BPDU 필터 허용 목록 BPDU 대상 MAC 주소 목록에서 대상 MAC 주소를 클릭하여 허용되는 대상으로의 트래픽을 허용합니다. BPDU 필터를 목록에서 선택할 수 있도록 설정해야 합니다. DHCP 필터 서버 차단 버튼 및 클라이언트 차단 버튼을 전환하여 DHCP 필터링을 사용하도록 설정합니다. 둘 다 기본적으로 사용하지 않도록 설정됩니다.
DHCP 서버 차단은 DHCP 서버에서 DHCP 클라이언트로의 트래픽을 차단합니다. DHCP 서버에서 DHCP 릴레이 에이전트로의 트래픽은 차단하지 않습니다.
DHCP 클라이언트 차단은 DHCP 요청을 차단하여 VM이 DHCP IP 주소를 획득하지 못하게 합니다.
DHCPv6 필터 서버 차단 - IPv6 버튼 및 클라이언트 차단 - IPv6 버튼을 전환하여 DHCP 필터링을 사용하도록 설정합니다. 둘 다 기본적으로 사용하지 않도록 설정됩니다.
DHCPv6 서버 차단은 DHCPv6 서버에서 DHCPv6 클라이언트로의 트래픽을 차단합니다. DHCP 서버에서 DHCP 릴레이 에이전트로의 트래픽은 차단하지 않습니다. UDP 소스 포트 번호가 547인 패킷이 필터링됩니다.
DHCPv6 클라이언트 차단은 DHCP 요청을 차단하여 VM이 DHCP IP 주소를 획득하지 못하게 합니다. UDP 소스 포트 번호가 546인 패킷이 필터링됩니다.
비 IP 트래픽 차단 비 IP 트래픽 차단 버튼을 전환하여 IPv4, IPv6, ARP 및 BPDU 트래픽만 허용합니다.
나머지 비 IP 트래픽은 차단됩니다. 허용되는 IPv4, IPv6, ARP, GARP 및 BPDU 트래픽은 주소 바인딩 및 SpoofGuard 구성에 설정된 다른 정책을 기준으로 합니다.
기본적으로 이 옵션은 비 IP 트래픽이 일반 트래픽으로 처리되도록 허용하기 위해 사용되지 않도록 설정됩니다.
RA 가드 RA 가드 버튼을 전환하여 수신 IPv6 라우터 알림을 필터링합니다. ICMPv6 유형 134 패킷이 필터링됩니다. 이 옵션은 기본적으로 사용하도록 설정되어 있습니다. 속도 제한 브로드캐스트 및 멀티캐스트 트래픽에 대한 속도 제한을 설정합니다. 이 옵션은 기본적으로 사용하도록 설정되어 있습니다.
속도 제한은 브로드캐스트 스톰과 같은 이벤트에서 워크로드 및 VM을 보호하는 데 사용할 수 있습니다.
연결 문제를 방지하려면 최소 속도 제한 값을 10pps 이상으로 설정해야 합니다.
- 저장을 클릭합니다.